Издательский дом ООО "Гейм Лэнд"СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #74, ЯНВАРЬ 2007 г.

it me Natasha

КИРИЛЛ «ВИСЕЛЬНИК» БЛАЖЕННОВ

Хакер, номер #074, стр. 030


(HTTP://BLAZHKIR.BLOGSPOT.COM)

ВЕЗДЕСУЩИЙ СПАМ

СПАМ ТАКЖЕ ОСВОИЛСЯ В ДОВОЛЬНО ПЕРСПЕКТИВНОЙ ОБЛАСТИ СЕРВИСОВ ДЛЯ ПЕРЕДАЧИ СООБЩЕНИЙ В РЕЖИМЕ РЕАЛЬНОГО ВРЕМЕНИ. ЭТО ЗНАКОМЫЕ ВСЕМ ICQ, MIRANDA, MSN MESSENGER, JABBER, AOL IM И ДРУГИЕ. ЭКСПЕРТЫ ПРОГНОЗИРУЮТ, ЧТО КОЛИЧЕСТВО ТАКИХ РАССЫЛОК БУДЕТ РАСТИ В ГЕОМЕТРИЧЕСКОЙ ПРОГРЕССИИ

СПАМ ПРАКТИЧЕСКИ ВЕЗДЕСУЩ. МАЛО ТОГО, ЧТО ОН ПРИХОДИТ ПО ЭЛЕКТРОННОЙ ПОЧТЕ, ТАК ЕЩЕ ИМЕЕТ СВОЙСТВО «МАТЕРИАЛИЗОВЫВАТЬСЯ» В РЕАЛЬНЫЕ ПОЧТОВЫЕ ЯЩИКИ, ОТКУДА ВЫГРЕБАЕТСЯ ОХАПКАМИ

Основная причина того, что спамеры так ценят мессенджеры, очевидна: многие подобные системы предоставляют возможность публичного доступа к базе пользовательских данных. Это позволяет достаточно оперативно формировать списки для рассылки с минимальными затратами. А если учесть, что такие базы данных включают в себя демографическую, географическую и личную информацию (возраст, пол, имя, место проживания, интересы), то становится ясно, почему мессенджеры являются ценной площадкой для рекламы. И спамеры часто собирают информацию о пользователях, делая рассылку персонализированной.

ПЕРВЫЕ ОТГОЛОСКИ

А началось все в далеком 2002, когда WindowsXP пешком под стол ходил, но уже довольно бодро и почти не спотыкаясь. Тогда кто-то из умельцев просек преимущества сервиса под названием Messenger. С надоедливой программой Windows Messenger, которая идет в поставке с XP, этот сервис имеет мало общего (разве что назойливость). Это одна из стандартных возможностей винды, которая позволяет серверам отправлять оповещения на рабочие станции. Причем появлялись такие сообщения в обычных диалоговых окнах. Этот способ рассылки встречается и сейчас.

Помните, как до выхода SP2 под WindowsXP выпрыгивающее окошко «The registry is corrupted. Plesase visit this site and download patch» или «Annoyed by these messages? Visit this site» доводило всех до белого каления? Использовалось оно для оповещения NetBIOS, и от него можно было избавиться двумя способами: перекрыть порты от 135 до 139 и 445 или просто вырубить этот сервис через консоль оснастки.

Спам в интернет-мессенджерах появился чуть ли не одновременно с их выходом. Сегодня по массовости спам в мессенджерах все еще уступает классическим «почтовым рассылкам», но по темпам роста оставляет их далеко позади. Например, Штаты, которые являются одной из самых продвинутых стран в плане интернет-технологий, сейчас просто захлебываются в интернет-пейджинге. 42% взрослых пользователей Сети в США пользуются этими технологиями (про молодежь и говорить нечего). Несмотря на то, что специальных исследований на этот счет не проводилось у нас, очевидно, что интернет-пейджеры (а, следовательно, и спам-рассылки в них) очень популярны и в России.

Наглядное свидетельство того, что спам в мессенджерах набирает обороты - появление отдельного термина «spim» (SPam by Instant Messaging). Правда, за этим термином не скрывается ничего особо нового. Различия обусловлены только разными инфраструктурами для потоков спама, то есть теми средствами, через которые весь этот бред и мусор попадает на глаза пользователю. Концепция и конечная цель спама независимы от способа доставки.

[что рассылают.]

В большинстве случаев рассылают, конечно же, рекламу. Она является самой распространенной, но не единственной формой спама, хотя у многих это уже синонимы. Даже компании, которые занимаются легальным бизнесом, рекламируют свои товары и услуги при помощи спамеров. Отношение «охват клиентов/стоимость рассылки» — очень заманчивое, и клиенты клюют на него. Исходя из нашей законодательной базы, достаточно сложно определить, какая рассылка является законной, а какая нет. Тем более если спамер находится в другой стране, и приходится синхронизировать законы двух стран. Но и здесь уже есть прецеденты. Например, первый случай возбуждения уголовного дела против спамеров был зафиксирован в 2004 году, когда компания AOL подала исковые заявления против нескольких физических лиц, обвиняемых в массовой рассылке рекламы через программы мгновенного обмена сообщениями.

Конечно, рекламная рассылка при грамотном применении является очень хорошим инструментом маркетинга. Но поскольку криворукость и кривомозгость — болячка широко распространенная, то чаще всего такая рассылка превращается именно в серый спам. Что, во-первых, наносит непоправимый вред репутации рекламируемой компании, а во-вторых, репутации тех, кто занимается легальными рекламными рассылками.

Другое распространенное явление пришло в аську из реального мира — «письма счастья». В основном такие послания содержат в себе просьбу разослать само себя по всем контактам. Но иногда такое сообщение содержит мысль, что получатель письма может получить каким-то образом большую сумму денег, а отправитель может ему в этом помочь за небольшой стартовый капитал. В аське, например, часто проскакивает сообщение о «волшебных кошельках WebMoney, которые утраивают сумму». Разумеется, ожидаемой прибыли адресат не получает.

Даже просьба разослать себя другим — тоже далеко не безобидная вещь. Иногда таким образом узнается довольно много интересного о пользователях. Если, в двух словах, на каком-нибудь транзитном сервере ставится сниффер, фильтрующий ICQ-трафик и проверяющий пакеты по ключевым словам из рассылки. Поскольку участники рассылки растут в геометрической прогрессии, то сбор становится эффективнее, а результаты сбора могут быть самые разнообразные: от статистики и топологии рассылки до данных из заголовков и тела писем.

Какой бы ни была рассылка, ее конечная цель — реакция пользователя. Для интернет-мессенджеров это важно, как нигде! Либо это переход по указанной ссылке, либо дублирование и рассылка этого же сообщения дальше, либо комбинация действий. Крупная волна спима (это 2003-2004 год) была сгенерированна элементарно: 90% сообщений гласили что-то вроде: «Привет, зайди на мой сайт www.сюда.ru». Сейчас пользователь уже поумнее стал, сначала пообщается, а потом уже кликает... Но кликает в 80% случаев.

[проблемные места.]

Методы, повышающие эффективность спима, будут совершенствоваться в основном в направлении создания универсального механизма, с помощью которого можно будет легко «закосить» под реального человека. Сейчас среднестатистический алгоритм бота ограничивается лексическим анализом текста сообщений и подбором ответа по словарю фраз. Личные данные бота при регистрации тоже подбираются по отдельному словарю. При желании бот может анализировать личные данные другого пользователя, делая беседу более персонализированной. А после непродолжительного диалога бот выдает какой-либо текст, в котором фигурирует ссылка (ради нее все затевалось). И обычно на это ведется более 80-90% респондентов, опять же, благодаря персонализации и выдумке спамера, который может заложить в словарь весьма интригующие фразы. Но основная трудность спамера и отличная возможность для пользователя отфильтровать ботов — отсутствие интеллекта у бота и бедность фантазии самих спамеров. Чтобы вывести жестянку на чистую воду, достаточно одного нестандартного вопроса или вопроса с неоднократным повтором.

Для мыла существует масса методик: создание черных списков, фильтрация сообщений на основе статистических методов, авторизация почтовых адресов, проверка существования отправителя и тому подобное. Применить для интернет-мессенджера можно, пожалуй, только черные списки (и то локально) и фильтрацию на основе статистических методов. Со статистикой особо не развернешься, так как сообщения, рассылаемые через мессенджеры, содержат мало текста, и это, в свою очередь, крайне затрудняет автоматический анализ теми средствами и алгоритмами, которые применяются для электронной почты. Если же применять «почтовые» техники определения спама, то первые три места в хит-параде спамерских сообщений займут сообщения: «Привет!», «Как дела?» и одиночный смайлик.

Ограничения по частоте пересылки в мессенджерах тоже не эффективны, так как активность общения по месcенджеру сильно зависит от количества свободного времени. А у некоторых - от других факторов, основным из которых является болтливость :). Соответственно, один и тот же человек может отправить несколько тысяч сообщений в сутки, разговаривая только с друзьями или по работе, а может не отправить ни одного. Также не подходит анализ сообщения по формальным признакам — из-за небольшого числа доступных клиентских программ, единой системы авторизации, высокой стандартизации и других особенностей реализации протоколов формальные признаки практически отсутствуют.

[борьба на уровне сервера.]

Из перспективных разработок стоит отметить анализ статистики поведения пользователя: количество ответов, получаемых пользователем на его сообщения, количество занесений его в игнор-лист, количество безуспешных запросов на авторизацию и других параметров. Такое, кстати, уже невозможно в электронной почте. Хотя бы потому, что IM — синхронный метод общения, а почта — асинхронный. Далее следует анализ сообщения. Основной принцип схож с «почтовым»: строится база «спам-слов», каждому из них присваивается вероятность, что оно спамовое (то есть его «вес»), затем анализируется сообщение. Если сообщение набирает общий вес, переваливающий за установленный максимум, то оно уходит в топку. Кстати, по таким же соображениям работают всевозможные, но немногочисленные существующие антиспам-плагины для клиентов IM. Но на сервере их эффективность все равно на порядки выше.

[борьба на уровне клиента]

А что же делать клиентам? Если возможно - запретить видимость статуса через web и отключить прием сообщений от пользователей вне контакт-листа. Либо использовать автоответчик, который будет переправлять пользователю сообщение: «Хочешь пообщаться, - вот тебе код, закинь мне его обратно для авторизации» (код сообщения генерируется самим автоответчиком).

А еще лучше просто не отвечать. Как с «нищими» в переходе: хочешь, чтобы их не было — не давай им ничего. Если так будут делать все прохожие, «нищие» уйдут сами. Прежде чем дать авторизацию, смотри информацию пользователя. Далее кидай пробное сообщение, но без особого смысла. Если ответ приходит в ту же секунду и не по контексту — в игнор.

[о печальном.]

Так что аська (и другие IM) — это не только «цветок на могиле рабочего времени». Спам в инстант-мессенджерах из явления экзотического постепенно переходит в повседневное. Противостояние спамеров и антиспамеров — вечно. Причина этого в одном — простота копирования и рассылки электронной информации. И неважно, что через эту информацию рассылать.

Новым витком может стать спит (spit) — непрошеные сообщения в системах интернет-телефонии. Низкая стоимость трафика и резко возросшее за последние несколько лет качество приводят к тому, что все больше людей переходят на пакетную передачу голоса. При этом возможности IP-телефонии не ограничиваются голосовой связью. Уже есть решения, которые могут отсылать до тысячи голосовых сообщений в минуту, производительность зависит от широты используемых каналов и мощности железа. Вот здесь уж точно придется применять кардинально новые способы борьбы.

Содержание